servicio nacional de aprendizaje - compromisocompromiso.sena.edu.co/documentos/docs_pdf/... ·...
TRANSCRIPT
Servicio Nacional de Aprendizaje
Direccionamiento Estratégico
Guía para la Administración del Riesgo
2015
TABLA DE CONTENIDO INTRODUCCIÓN ........................................................................................................................... 3 1. POLÍTICA INSTITUCIONAL PARA LA ADMINISTRACIÓN DEL RIESGO .................................... 4 2. OBJETIVO ............................................................................................................................. 4 3. ALCANCE .............................................................................................................................. 4 4. GENERALIDADES .................................................................................................................. 4 5. DEFINICIONES ...................................................................................................................... 6 5.1 CLASIFICACIÓN DE LOS RIESGOS ........................................................................................... 7 6. MARCO NORMATIVO ........................................................................................................... 8 7. METODOLOGÍA .................................................................................................................... 9 7.1 IDENTIFICACIÓN DEL RIESGO ................................................................................................. 9 7.1.1 Técnica para la Identificación del Riesgo .......................................................................... 10 7.2 ANÁLISIS DEL RIESGO ........................................................................................................... 12 7.2.1 Calificación del Riesgo ...................................................................................................... 12 7.2.2 Evaluación del Riesgo ....................................................................................................... 14 7.3 VALORACIÓN DEL RIESGO ................................................................................................... 16 7.3.1 Identificación del Control ................................................................................................. 16 7.3.1.1 Estructura del Control ................................................................................................... 18 7.3.2 Evaluación del Control ...................................................................................................... 20 7.4 TRATAMIENTO DEL RIESGO ................................................................................................. 23 7.5 SEGUIMIENTO A LA ADMINISTRACIÓN DEL RIESGO ........................................................... 25 7.5.1 Autocontrol ....................................................................................................................... 25 7.5.2 Evaluación realizada por la Oficina de Control Interno .................................................... 26 7.6 OFICINA DE CONTROL INTERNO FRENTE A LA ADMINISTRACIÓN DEL RIESGO .................. 27 REFERENCIAS BIBLIOGRÁFICAS.................................................................................................. 28
INTRODUCCIÓN En cumplimiento de los Decretos 2641 de 2012, por el cual se reglamentan los artículos 73 y 76 de la Ley 1474 de 2011, y 943 de 2014, por el cual se actualiza el Modelo Estándar de Control Interno – MECI, el Servicio Nacional de Aprendizaje, SENA, establece la Guía para la Administración del Riesgo dirigida a los procesos de la Entidad con ámbito de aplicación en Dirección General, Regionales y Centros de Formación, como un instrumento de apoyo para el fortalecimiento del Modelo Estándar de Control Interno – MECI y el Sistema Integrado de Gestión. Administrar los riesgos es responsabilidad de cada uno de los colaboradores de la Entidad, bajo el liderazgo de la Alta Dirección, y la manera como se gestionen contribuirá al cumplimiento de los objetivos de los procesos y los institucionales. Para tal fin, se determina en la presente Guía, la Política Institucional para la Administración del Riesgo y los aspectos conceptuales y metodológicos para el manejo de los mismos.
1. POLÍTICA INSTITUCIONAL PARA LA ADMINISTRACIÓN DEL RIESGO
El Servicio Nacional de Aprendizaje, SENA, se compromete a administrar los riesgos institucionales, realizando la identificación, análisis y valoración de los mismos, y definiendo medidas encaminadas a evitar, reducir, compartir o transferir aquellos de mayor probabilidad de ocurrencia y que generen un impacto considerable en el cumplimiento de los objetivos institucionales o de sus procesos. Así mismo, se compromete con el seguimiento periódico a la administración de los riesgos en pro del mejoramiento continuo de la gestión institucional. 2. OBJETIVO Orientar la identificación, análisis, valoración, tratamiento y revisión de los riesgos de los procesos y riesgos de corrupción, según la clasificación establecida en el presente documento, proporcionando un marco conceptual y metodológico que facilite su administración. 3. ALCANCE La presente Guía aplica a todos los procesos de la Entidad en sus niveles de: Dirección General, Regionales y Centros de Formación, desde la identificación de los riesgos, la formulación de las acciones para su tratamiento, hasta la revisión de los mismos como medida de autocontrol. 4. GENERALIDADES 4.1 La Dirección de Planeación y Direccionamiento Corporativo, es la encargada de
asesorar el diseño, la implementación y el mantenimiento de la Administración del Riesgo en la Entidad.
4.2 Dentro de los roles de la Oficina de Control Interno, se encuentra la asesoría en la valoración del riesgo. Este proceso consiste en la orientación técnica frente a la identificación de los riesgos, capacitación en la metodología a la Alta Dirección y brindar recomendaciones para la implementación de controles1.
4.3 Los Responsables de Proceso en cada nivel de la Entidad (Dirección General, Regionales
y Centros de Formación) son los encargados de la administración de los riesgos en sus respectivas dependencias, y con el apoyo de los equipos de trabajo, ejercen el control y la implementación de acciones sobre los mismos para prevenir o reducir su materialización.
4.4 No existe un número mínimo o máximo de riesgos a identificar, lo realmente
importante es que el ejercicio de identificación se realice de manera objetiva, teniendo en cuenta que lo que se busca es asegurar razonablemente el cumplimiento de los objetivos de los procesos y de la Entidad en general.
1 DEPARTAMENTO ADMINISTRATIVO DE LA FUNCIÓN PÚBLICA (DAFP). Manual Técnico del Modelo Estándar de Control Interno para el Estado Colombiano MECI 2014. 2 ed. Bogotá D.C., 2014. p. 71.
4.5 Con el fin de dar a conocer a los servidores públicos y particulares que ejercen funciones públicas, la Política Institucional de Administración del Riesgo y sus etapas, el Responsable del Proceso y líderes temáticos (coordinadores, responsables del tema, entre otros), con la asesoría y apoyo técnicos del Gestor o Líder SIG2, realizan actividades de sensibilización, inducción, reinducción, capacitación o divulgación de la matriz de riesgos del proceso.
4.6 Para el registro de las etapas de la Administración del Riesgo, la Entidad cuenta con los
Módulos Administración del Riesgo y Riesgos de Corrupción en la plataforma CompromISO (http://compromiso.sena.edu.co).
4.7 Para realizar la identificación de los riesgos se pueden revisar, entre otras, las
siguientes fuentes:
- Requisitos legales y reglamentarios aplicables a la Entidad y/o proceso. - Planes y Programas. - Cambios estructurales internos: Creación de una nueva área, proceso, grupo
interno de trabajo. - Documentos que son parte de la estructura documental del Sistema Integrado de
Gestión. - Informes (auditorías de evaluación y de seguimiento realizadas por la Oficina de
Control Interno, auditorías internas de calidad, auditorías de tercera parte, auditorías de evaluación de gestión y resultados – Contraloría General de la República, informes pormenorizados del Sistema de Control Interno, informes de gestión, PQRS, satisfacción del cliente, seguimiento al Plan Anticorrupción, entre otros).
- Matrices de Riesgos. - Estudios realizados por terceros. Por ejemplo: Evaluaciones de impacto.
4.8 La Política Institucional para la Administración del Riesgo se revisa, aprueba y se le hace
seguimiento en el ejercicio de Revisión por la Dirección que realiza la Dirección General, teniendo en cuenta lo establecido en el Manual del Sistema Integrado de Gestión (DE-MSIG-001).
4.9 El Responsable del Proceso y líderes temáticos (coordinadores, responsables del tema,
entre otros), con la asesoría y apoyo técnicos del Gestor o Líder SIG, establecen las acciones de respuesta a la contingencia3 para los riesgos que después de la evaluación de los controles, se valoren en el nivel de riesgo extremo con probabilidad Casi Seguro e impacto Catastrófico, excepto para los riesgos de corrupción.
2 Responsables de Proceso, Gestores SIG, Líderes SIG, entre otros, son las instancias establecidas en el Artículo 3º
de la Resolución 1471 de 2013, por la cual se adopta el Sistema Integrado de Gestión SIG en el Servicio Nacional de Aprendizaje, SENA, se conforman sus instancias a nivel nacional, se definen sus funciones y se establecen otras disposiciones. 3 Las acciones de respuesta a la contingencia son las acciones inmediatas que se podrían tomar cuando un riesgo se materializa y las acciones correctivas para evitar su ocurrencia. Las acciones inmediatas se identifican como controles correctivos en la etapa de valoración del riesgo.
4.10 Cuando el riesgo se haya materializado, el Responsable del Proceso y líderes temáticos (coordinadores, responsables del tema, entre otros), con la asesoría y apoyo técnicos del Gestor o Líder SIG, establecen la acción correctiva correspondiente teniendo en cuenta el Procedimiento Acciones Preventivas, Correctivas y de Mejora (DE-P-018).
5. DEFINICIONES Análisis del Riesgo. Razonamiento que permite calificar y evaluar el riesgo inherente, en
términos cualitativos y cuantitativos. Causa. Son los medios, las circunstancias y agentes generadores de riesgo. Los agentes
generadores que se entienden como todos los sujetos u objetos que tienen la capacidad de originar un riesgo.4
Contexto. Parámetros internos y externos que se han de tomar en consideración cuando se gestiona el riesgo.5
Contexto Externo. Ambiente externo en el cual la organización busca alcanzar sus
objetivos.6 Contexto Interno. Ambiente interno en el cual la organización busca alcanzar sus
objetivos.7
Control. Medida que modifica al riesgo.8 Evaluación del Riesgo. Resultado del cruce cualitativo o cuantitativo de las calificaciones
de probabilidad e impacto, para establecer el nivel donde se ubicará el riesgo.
Identificación del Riesgo. Etapa que describe el riesgo con sus causas y consecuencias. Impacto. Efecto de la materialización del riesgo.
Matriz de Riesgos. Documento que de manera sistemática muestra el desarrollo de las
etapas de la Administración del Riesgo.
Nivel de Riesgo. Magnitud de un riesgo o de una combinación de riesgos, expresada en términos de la combinación de las consecuencias y su probabilidad.9
Opciones de Manejo. Posibilidades disponibles para administrar el riesgo (evitar, reducir,
transferir o asumir el riesgo residual).
4 DEPARTAMENTO ADMINISTRATIVO DE LA FUNCIÓN PÚBLICA (DAFP). Guía para la Administración del Riesgo. 4
ed. Bogotá D.C., 2011. p. 24. 5 ICONTEC. Norma Técnica Colombiana NTC ISO 31000. Bogotá D.C., 2011. p. 20. 6 Ibid., p. 20. 7 Ibid., p. 20. 8 Ibid., p. 23. 9 Ibid., p. 23.
Acciones de respuesta a la contingencia. Son las acciones inmediatas que se podrían tomar cuando un riesgo se materializa y las acciones correctivas para evitar su ocurrencia.
Probabilidad. Medida para estimar la ocurrencia del riesgo.
Riesgo. Posibilidad de que suceda algún evento que tendrá un impacto sobre los objetivos institucionales o del proceso. Se expresa en términos de probabilidad y consecuencias.10
Riesgo Inherente: Es aquel al que se enfrenta una entidad en ausencia de controles por parte del proceso para modificar su probabilidad o impacto.
Riesgo Residual: Nivel de riesgo que permanece luego de tomar medidas de tratamiento del riesgo.
5.1 CLASIFICACIÓN DE LOS RIESGOS
Riesgo de Corrupción: Posibilidad de que por acción u omisión, mediante el uso indebido
del poder, de los recursos o de la información, se lesionen los intereses de la Entidad y en consecuencia del Estado, para la obtención de un beneficio particular.11
Riesgo de Cumplimiento: Se asocian con la capacidad de la Entidad para cumplir con los requisitos legales, contractuales, de ética pública y en general con su compromiso ante la comunidad.12
Riesgo Estratégico: Se asocia con la forma en que se administra la Entidad. El manejo del riesgo estratégico se enfoca a asuntos globales relacionados con la misión y el cumplimiento de los objetivos estratégicos, la clara definición de políticas, diseño y conceptualización de la Entidad por parte de la Alta Dirección.13
Riesgos Financieros: Se relacionan con el manejo de los recursos de la Entidad que
incluyen: la ejecución presupuestal, la elaboración de los estados financieros, los pagos, manejos de excedentes de tesorería y el manejo sobre los bienes.14
Riesgos de Imagen: Están relacionados con la percepción y la confianza por parte de la ciudadanía hacia la Entidad.15
Riesgos Operativos: Comprenden riesgos provenientes del funcionamiento y operatividad de los sistemas de información institucional, de la definición de los procesos, de la estructura de la Entidad, de la articulación entre dependencias.16
10 DEPARTAMENTO ADMINISTRATIVO DE LA FUNCIÓN PÚBLICA (DAFP). Op cit., p. 13. 11 SECRETARÍA DE TRANSPARENCIA – PRESIDENCIA DE LA REÚBLICA. Estrategias para la Construcción del Plan
Anticorrupción y de Atención al Ciudadano. Bogotá D.C., 2012. P. 3 – 4. 12 DEPARTAMENTO ADMINISTRATIVO DE LA FUNCIÓN PÚBLICA (DAFP). Op cit., p. 25. 13 DEPARTAMENTO ADMINISTRATIVO DE LA FUNCIÓN PÚBLICA (DAFP). Op cit., p. 25. 14 DEPARTAMENTO ADMINISTRATIVO DE LA FUNCIÓN PÚBLICA (DAFP). Op cit., p. 25. 15 DEPARTAMENTO ADMINISTRATIVO DE LA FUNCIÓN PÚBLICA (DAFP). Op cit., p. 25. 16 DEPARTAMENTO ADMINISTRATIVO DE LA FUNCIÓN PÚBLICA (DAFP). Op cit., p. 25.
Riesgo de Tecnología: Están relacionados con la capacidad tecnológica de la Entidad para satisfacer sus necesidades actuales y futuras y el cumplimiento de la misión.17
6. MARCO NORMATIVO
Cuadro 1. Referente Normativo Administración del Riesgo
Norma Descripción/Articulado
Ley 87 de 1993
Por la cual se establecen normas para el ejercicio del control interno en las entidades y organismos del Estado y se dictan otras disposiciones (Modificada parcialmente por la Ley 1474 de 2011). Artículo 2. Objetivos del Sistema de Control Interno: literal a). Proteger los recursos de la organización, buscando su adecuada administración ante posibles riesgos que los afectan. Literal f). Definir y aplicar medidas para prevenir los riesgos, detectar y corregir las desviaciones que se presenten en la organización y que puedan afectar el logro de los objetivos.
Ley 489 de 1998 Estatuto Básico de Organización y Funcionamiento de la Administración Pública. Capítulo VI. Sistema Nacional de Control Interno.
Decreto 2145 de 1999
Por el cual se dictan normas sobre el Sistema Nacional de Control Interno de las Entidades y Organismos de la Administración Pública del orden nacional y territorial y se dictan otras disposiciones (Modificado parcialmente por el Decreto 2593 del 2000 y por el Art. 8º. de la ley 1474 de 2011).
Decreto 2539 de 2000
Por el cual se modifica parcialmente el Decreto 2145 de 1999.
Decreto 1537 de 2001
Por el cual se reglamenta parcialmente la Ley 87 de 1993 en cuanto a elementos técnicos y administrativos que fortalezcan el sistema de control interno de las entidades y organismos del Estado. El parágrafo del Artículo 4º señala los objetivos del sistema de control interno (…) define y aplica medidas para prevenir los riesgos, detectar y corregir las desviaciones (…) y en su Artículo 3º establece el rol que deben desempeñar las oficinas de control interno (…) que se enmarca en cinco tópicos (…) valoración de riesgos. Así mismo, establece en su Artículo 4º la administración de riesgos, como parte integral del fortalecimiento de los sistemas de control interno en las entidades públicas (…).
17 DEPARTAMENTO ADMINISTRATIVO DE LA FUNCIÓN PÚBLICA (DAFP). Op cit., p. 25.
Norma Descripción/Articulado
Decreto 249 de 2004
Por el cual se modifica la estructura del Servicio Nacional de Aprendizaje, SENA. Artículo 5º. Son funciones de la Oficina de Control Interno, las siguientes: (…) Numeral 6: “Elaborar en coordinación con las dependencias de la entidad los mapas de riesgos (…)”. Numeral 15: “Realizar análisis y evaluaciones de riesgos con el fin de identificar aquellos que puedan afectar el cumplimiento de la misión de la entidad (…)”.
Decreto 4485 de 2009
Por el cual se adopta la actualización de la NTCGP a su versión 2009. Numeral 4.1 Requisitos generales literal g) “establecer controles sobre los riesgos identificados y valorados que puedan afectar la satisfacción del cliente y el logro de los objetivos de la entidad; cuando un riesgo se materializa es necesario tomar acciones correctivas para evitar o disminuir la probabilidad de que vuelva a suceder”. Este decreto aclara la importancia de la Administración del riesgo en el Sistema de Gestión de la Calidad en las entidades.
Ley 1474 de 2011
Estatuto Anticorrupción. Artículo 73. “Plan Anticorrupción y de Atención al Ciudadano” que deben elaborar anualmente todas las entidades, incluyendo el mapa de riesgos de corrupción, las medidas concretas para mitigar esos riesgos, las estrategias antitrámites y los mecanismos para mejorar la atención al ciudadano.
Decreto 2641 de 2012
Por el cual se reglamentan los artículos 73 y 76 de la Ley 1474 de 2011.
Decreto 943 de 2014
Por el cual se actualiza el Modelo Estándar de Control Interno –MECI- (deroga el Decreto 1599 de 2005).
7. METODOLOGÍA 7.1 IDENTIFICACIÓN DEL RIESGO En esta etapa se determinan aquellos eventos que tendrán un impacto sobre los objetivos institucionales o del proceso; definiendo en primera instancia sus causas con base en el contexto externo e interno, y posteriormente, los posibles efectos (consecuencias) que se ocasionarían con la materialización del riesgo. El análisis del contexto se realiza a partir de la identificación de las situaciones del entorno de la Entidad de carácter político y legal, económico, social, tecnológico, ambiental y comunicación externa, bien sea internacional, nacional, regional o local, según sea el caso de análisis; y las situaciones internas relacionadas con el ambiente de trabajo, comunicación interna, gestión, infraestructura, método, planeación, recurso financiero y talento humano (cuadro 2).
Cuadro 2. Contexto Interno y Externo
Contexto Interno
Ambiente de trabajo: Ergonomía, ruido, temperatura, humedad, iluminación, condiciones climáticas
Comunicación interna: Canales utilizados y su efectividad, flujo de la información necesaria para el desarrollo de los procesos
Gestión: Gobierno, estructura organizacional, funciones y responsabilidades
Infraestructura: Edificios, espacios de trabajo y sus servicios asociados (redes internas de suministro de servicios públicos o cableado estructural, entre otros); herramientas, equipos y sistemas de información (tanto hardware como software) para la gestión de los procesos; servicios de apoyo (transporte, comunicación, servicios generales); capacidad instalada
Método: Procesos, procedimientos, instrucciones de trabajo, riesgos
Estratégicos: Direccionamiento estratégico, planeación institucional, cultura organizacional
Recurso financiero: Presupuesto de funcionamiento, recursos de inversión, ejecución presupuestal
Talento humano: Competencia del personal, disponibilidad del personal, formación, toma de conciencia
Contexto Externo
Político y legal: Cambios de Gobierno, políticas públicas, regulación, cumplimiento de requisitos legales y reglamentarios
Económico: Inflación, crecimiento económico, índice de precios, tratados comerciales internacionales, actores locales, sector productivo (organización del sector, compromiso con la gestión institucional del SENA), desempleo.
Social: Demografía, salud, educación, movilidad, condiciones socio-culturales, factores étnicos y religiosos, responsabilidad social, orden público.
Tecnológico: Avances en tecnología, acceso a sistemas de información externos, gobierno en línea, seguridad de la información18.
Ambiental19: Emisiones y residuos, energía, catástrofes naturales, desarrollo sostenible
Comunicación externa: Mecanismos utilizados para entrar en contacto con los usuarios o ciudadanos, canales establecidos para que los mismos se comuniquen con la Entidad.
7.1.1 Técnica para la Identificación del Riesgo El riesgo se puede confundir con un problema. Para diferenciarlo es importante tener en cuenta:
La causa se ubica en el pasado o presente. El riesgo se ubica en el futuro, es algo potencial. El efecto se ubica en el futuro, es algo potencial. Para la identificación correcta del riesgo, la Entidad adoptó la técnica del Metalenguaje del Riesgo20. Esta técnica consiste en dividir el conjunto Causa – Riesgo – Efecto en una
18 Tratado en Subsistema de Gestión de Seguridad de la Información 19 Tratados en el Subsistema de Gestión Ambiental 20 Adicional a la Técnica “Metalenguaje del Riesgo”, existen otras herramientas y técnicas que podrían consultarse
como: Tormenta de Ideas, Técnica Delphi, Entrevistas, Análisis Causal, Listas de Control, Análisis de Supuestos,
descripción de tres partes, así: “Debido a <una o más causas>, podría ocurrir <un riesgo>, lo que podría ocasionar <uno o más efectos>”. En el cuadro 3 se presentan ejemplos del uso de esta técnica.
Con base en lo anterior, el riesgo se redacta evitando su inicio con una negación (“No”) o con expresiones como: “Falta, carencia o ausencia de recursos de (…)”, “Incumplimiento de (…)”, “Inexistencia de (…)”, “Desconocimiento de (…)”; ni tampoco haciendo alusión a la influencia o intervención de entes o factores externos, como por ejemplo: cambios en la normatividad, cambios de Gobierno, etc., ya que estas situaciones son consideradas como causas.
Cuadro 3. Ejemplos en el uso del Metalenguaje
Conector o enlace
Causa Conector o enlace
Riesgo Conector o enlace
Efecto/Consecuencia
Debido a
Hechos ocurridos sin comprobante contable y/o sin registro contable
podría ocurrir que
Los Estados Financieros no presenten razonablemente la situación financiera de la Entidad
lo que podría ocasionar
Opinión negativa o adversa sobre los Estados Financieros por parte de la Contraloría General de la República
Debido a
Ausencia de alianzas y estrategias en el sector empresarial que complementen la cadena de valor para la sostenibilidad y escalabilidad de las empresas creadas
podría ocurrir que
Las empresas creadas a través de las Unidades de Emprendimiento y el Programa Jóvenes Rurales Emprendedores, no sean sostenibles en un horizonte de tiempo a 3.5 años
lo que podría ocasionar
Pérdida de credibilidad frente a emprendedores y sector empresarial
Debido al
Incumplimiento de los acuerdos de confidencialidad por parte de los actores
podría
ocurrir
que
La cadena de custodia del proceso de certificación sea vulnerada
lo que podría ocasionar
Fraude en el instrumento Falsificación de certificados
Diagramas de Causa y Efecto, Diagramas de Flujo, Diagramas de Influencias, Análisis SWOT o DOFA, Juicio de Expertos.
Para llevar a cabo la identificación de los riesgos, se realizan las siguientes actividades:
1. Los Responsables de Proceso y líderes temáticos (coordinadores, responsables del tema, entre otros) con la participación de los equipos de trabajo, más la asesoría y apoyo técnicos del Gestor o Líder SIG, realizan la identificación de los riesgos de su dependencia, producto de cambios en el interior de la Entidad o su entorno, teniendo en cuenta lo establecido en el numeral 7.1.1 del presente documento.
2. Una vez el Administrador del Módulo parametrice los factores de contexto, causas, riesgos y efectos en la plataforma CompromISO, el Responsable del Proceso y líderes temáticos (coordinadores, responsables del tema, entre otros), ingresan con el usuario del Gestor o Líder SIG a la plataforma, y en los Módulos Administración del Riesgo y/o Riesgos de Corrupción, hacen clic en el link “Identificación” y luego en el link “Adicionar”, registrando los siguientes campos21: Proceso, Riesgo, Descripción22, Tipo de Riesgo23 (ver definiciones), Causas y Efectos. Finalmente, hacen clic en “Adicionar” y el riesgo quedará identificado en el Módulo correspondiente. Para seleccionar adecuadamente las causas, riesgos y efectos en los Módulos, se puede hacer uso de las listas que aparecen al lado derecho de cada uno de estos aspectos.
7.2 ANÁLISIS DEL RIESGO En esta etapa se determina la probabilidad de ocurrencia del riesgo y sus consecuencias, con el fin de establecer el nivel de riesgo inicial (Riesgo Inherente). Este análisis se efectúa posterior a la identificación del riesgo y se compone de: Calificación y Evaluación 7.2.1 Calificación del Riesgo Se logra mediante la estimación de dos aspectos: la probabilidad de ocurrencia del riesgo y el impacto que puede causar la materialización del mismo. Probabilidad: Si el riesgo se ha materializado, esta puede ser medida de acuerdo con la frecuencia, por ejemplo: Número de veces que un riesgo ha sucedido en un tiempo determinado. Si el riesgo aún no se ha materializado, se mide en términos de factibilidad24, teniendo en cuenta la presencia de factores internos o externos que puedan propiciar su materialización. Impacto: Se mide según el grado en que las consecuencias o efectos pueden perjudicar a la Entidad si se materializa el riesgo. Para estimar la probabilidad e impacto de los riesgos de los procesos, se utilizan los niveles descritos en los cuadros 4 y 5.
21 Cualquier ajuste a estos campos, se efectúa a través de la opción “Editar”. 22 Se refiere a las características generales o las formas en que se observa o manifiesta el riesgo identificado en la Dirección General, Regionales y Centros de Formación. 23 Corrupción, Cumplimiento, Estratégico, Financiero, Imagen, Operativo, Tecnología (numeral 5.1). 24 En caso de no contar con datos históricos, bajo el concepto de factibilidad se trabajará de acuerdo con la experiencia de los colaboradores que desarrollan el proceso y de sus factores internos y externos.
Cuadro 4. Niveles de Probabilidad del Riesgo
Valor de la Probabilidad
Nivel de Probabilidad
Descripción Frecuencia
1 Raro El evento puede ocurrir sólo en circunstancias excepcionales
No se ha presentado en los últimos 5 años
2 Improbable El evento puede ocurrir en algún momento
Al menos 1 vez en los últimos 5 años
3 Posible El evento podría ocurrir en algún momento
Al menos 1 vez en los últimos 2 años
4 Probable El evento probablemente ocurrirá en la mayoría de las circunstancias
Al menos 1 vez en el último año
5 Casi Seguro Se espera que el evento ocurra en la mayoría de las circunstancias
Más de 1 vez al año
Fuente: Guía para la Administración del Riesgo. 4 ed. Bogotá D.C.: DAFP, 2011.
Cuadro 5. Niveles de Impacto del Riesgo
Tipo de Impacto
Insignificante (1)
Menor (2)
Moderado (3)
Mayor (4)
Catastrófico (5)
Si el hecho llegara a presentarse, tendría consecuencias o efectos mínimos sobre la Entidad
Si el hecho llegara a presentarse, tendría bajo impacto o efecto sobre la Entidad
Si el hecho llegara a presentarse, tendría medianas consecuencias o efectos sobre la Entidad
Si el hecho llegara a presentarse, tendría altas consecuencias o efectos sobre la Entidad
Si el hecho llegara a presentarse, tendría desastrosas consecuencias o efectos sobre la Entidad
Imagen (asociado con la pérdida de credibilidad)
Afecta a un grupo de funcionarios del proceso
Afecta a todos los funcionarios de la Entidad
Afecta a los usuarios a nivel ciudad
Afecta a los usuarios a nivel región
Afecta los usuarios a nivel país
Seguridad de la información (pérdida o revelación de la información)
Afecta a una persona o una actividad del proceso
Afecta a un grupo de trabajo o algunas actividades del proceso
Afecta el proceso
Afecta varios procesos de la Entidad
Afecta toda la Entidad
Impacto legal (asociado con el cumplimiento normativo)
Genera un requerimiento
Genera investigaciones disciplinarias y/o fiscales y/o penales
Genera interrupciones en la prestación del servicio
Genera sanciones
Genera Intervención o cierre definitivo de la Entidad
Tipo de Impacto
Insignificante (1)
Menor (2)
Moderado (3)
Mayor (4)
Catastrófico (5)
Operativo (asociados con la forma técnica y operativa de llevar a cabo las actividades)
Genera ajustes a una actividad concreta
Genera cambios en los procedimientos
Genera cambios en los procesos
Genera intermitencia en el servicio
Genera paro total del proceso y/o de la Entidad
Financiero (asociada con impactos que generen pérdidas económicas)
La pérdida financiera no afecta la operación normal de la Entidad
La pérdida financiera afecta algunos servicios administrativos
La pérdida financiera afecta parcialmente la prestación del servicio
La pérdida financiera afecta considerablemente la prestación del servicio
La pérdida financiera afecta totalmente la prestación del servicio
Adaptado de la Guía para la Administración del Riesgo. 4 ed. Bogotá D.C.: DAFP, 2011. Para determinar la probabilidad de materialización de los Riesgos de Corrupción sólo se consideran los niveles Casi Seguro y Posible, y para su impacto el nivel Catastrófico, ya que “el impacto de la materialización de un riesgo de corrupción es único, por cuanto lesiona la imagen, la credibilidad, la transparencia y la probidad de las entidades y del Estado, afectando los recursos públicos, la confianza y el cumplimiento de las funciones de la administración, siendo por tanto inaceptable la materialización de un riesgo de corrupción”25. 7.2.2 Evaluación del Riesgo Se obtiene mediante el cruce cualitativo de las calificaciones de probabilidad e impacto en la Matriz de Calificación y Evaluación del Riesgo (cuadro 6), con el fin de estimar el nivel de riesgo inicial (Riesgo Inherente). Otra forma de evaluación es mediante el cruce cuantitativo, en el que se multiplica la probabilidad por el impacto (cuadro 7). El resultado de esta operación se ubica en los rangos descritos en el cuadro 8, determinando el nivel de riesgo inicial.
25 SECRETARÍA DE TRANSPARENCIA – PRESIDENCIA DE LA REÚBLICA. Estrategias para la Construcción del Plan Anticorrupción y de Atención al Ciudadano. Bogotá D.C., 2012. p. 6.
Cuadro 6. Matriz de Calificación y Evaluación del Riesgo
Probabilidad
Impacto
Insignificante (1)
Menor (2)
Moderado (3)
Mayor (4)
Catastrófico (5)
Raro (1) Bajo Bajo Bajo Moderado Moderado
Improbable (2) Bajo Moderado Moderado Alto Alto
Posible (3) Bajo Moderado Alto Alto Extremo
Probable (4) Moderado Alto Alto Extremo Extremo
Casi Seguro (5) Moderado Alto Extremo Extremo Extremo
Adaptado de la Guía para la Administración del Riesgo. 4 ed. Bogotá D.C.: DAFP, 2011.
Cuadro 7. Matriz de Calificación y Evaluación del Riesgo - Resultados Probabilidad por Impacto
Probabilidad
Impacto
Insignificante (1)
Menor (2)
Moderado (3)
Mayor (4)
Catastrófico (5)
Raro (1) 1 2 3 4 5
Improbable (2) 2 4 6 8 10
Posible (3) 3 6 9 12 15
Probable (4) 4 8 12 16 20
Casi Seguro (5) 5 10 15 20 25
Cuadro 8. Matriz de Calificación y Evaluación del Riesgo - Resultados Probabilidad por Impacto
Rangos según resultado de la evaluación (Probabilidad por
Impacto) Nivel de Riesgo
1 a 3 Bajo
4 a 6 Moderado
7 a 14 Alto
15 a 25 Extremo
Para llevar a cabo el análisis de los riesgos, se realizan las siguientes actividades: 1. El Responsable del Proceso y líderes temáticos (coordinadores, responsables del tema,
entre otros), con la asesoría y apoyo técnicos del Gestor o Líder SIG, analizan cada riesgo, estimando en primera instancia la probabilidad del mismo y luego su impacto, según los niveles establecidos en el numeral 7.2.1 del presente documento. Para esto, ingresan con el usuario del Gestor o Líder SIG a la plataforma CompromISO, y en los Módulos Administración del Riesgo y/o Riesgos de Corrupción, hacen clic en el link “Análisis” y luego en el link “Analizar” (círculo de colores que aparece al lado izquierdo de cada registro).
2. El Responsable del Proceso y líderes temáticos (coordinadores, responsables del tema, entre otros), con la asesoría y apoyo técnicos del Gestor o Líder SIG, cruzan la probabilidad con el impacto en la Matriz de Calificación y Evaluación del Riesgo y hacen clic en la zona de intersección correspondiente (nivel de riesgo). Finalmente, hacen clic en “Analizar” y el riesgo quedará analizado en el Módulo correspondiente, con los niveles Extremo, Alto, Moderado o Bajo, según los resultados de la evaluación.
7.3 VALORACIÓN DEL RIESGO En esta etapa se confrontan los resultados del análisis del riesgo frente a los controles establecidos, con el fin de determinar el nivel de riesgo final (Riesgo Residual). Es importante precisar que este nivel varía de acuerdo con la dinámica de los controles, es decir, puede cambiar a partir de la identificación de nuevos controles o actualizaciones en la evaluación de los mismos. La valoración requiere de la identificación y evaluación de los controles. 7.3.1 Identificación del Control La identificación de los controles implica: a) Determinar su naturaleza: Si se trata de un control preventivo o correctivo. Para este
análisis se tiene en cuenta:
Controles Preventivos. Previenen la materialización de un riesgo (disminuye la
probabilidad). Por ejemplo, el requerimiento de un login y password en un sistema de información es un control preventivo, ya que previene (teóricamente) que personas no autorizadas puedan ingresar al sistema.
Controles Correctivos. Éstos no previenen la materialización de un riesgo, pero permiten
enfrentar la situación en caso de materialización (disminuye el impacto). Por ejemplo, las pólizas de seguros, acciones de respuesta a la contingencia y otros mecanismos de recuperación de negocio o respaldo.
b) Determinar si los controles están documentados, de forma tal que es posible conocer cómo se lleva a cabo el control, quién es el responsable de su ejecución y cuál es la periodicidad para su ejecución.
c) Determinar si los controles se están aplicando en la actualidad y si han sido efectivos para
minimizar el riesgo. A manera de información existen controles orientados a asegurar el cumplimiento de las estrategias, políticas y objetivos institucionales, dentro de los cuales se encuentran: Indicadores, auditorías, informes, comités, monitoreo de riesgos, entre otros. Así mismo, controles a nivel de requisitos legales y reglamentarios aplicables a la Entidad y que se encuentran contenidos en Leyes, Decretos, Acuerdos y Resoluciones, internos o externos. Y finalmente, controles enfocados a asegurar la ejecución de las actividades de un proceso, tales como: a) Las actividades relacionadas con el “Verificar” en las Caracterizaciones de los Procesos. b) Las “Generalidades” contenidas en Manuales, Procedimientos, Planes, Guías, Instructivos,
Anexos y Protocolos. c) Actividades específicas que impliquen inspección, confirmación o comparación dentro del
contenido de: Manuales, Procedimientos, Planes, Guías, Instructivos, Anexos y Protocolos. En el caso de los Procedimientos, suelen estar en el diagrama de flujo (símbolo de rectángulo) - descripción de la actividad. Ejemplos: Revisión, verificación, validación, fiscalización, comprobación, supervisión, legalización, conciliación, entre otros.
d) Actividades que impliquen aprobación, autorización o aceptación como resultado de una decisión (símbolo de rombo en el diagrama de flujo) en los Procedimientos o en el cuerpo del documento en el caso de Manuales, Planes, Guías, Instructivos, Anexos y Protocolos.
e) Actividades que impliquen actualización o divulgación, siempre y cuando tengan una frecuencia de aplicación en el tiempo.
f) Acciones de respuesta a la contingencia. g) Programas de mantenimiento preventivo. h) Pólizas de seguros. i) Copias de seguridad o respaldo. j) Registros o alertas en los sistemas de información para la gestión de los procesos.
A continuación, se proporciona una orientación sobre la clasificación de algunos controles preventivos y correctivos:
Cuadro 9. Ejemplos Clasificación de Controles
Controles Tipo
Preventivo Correctivo
Acceso restringido X
Actualización periódica de procedimientos X
Alarmas contra robo X
Auditorías X
Capacitación y entrenamiento X
Claves de acceso X
Código de Ética y Buen Gobierno X
Control de Calidad X
Copias de seguridad X
Aprobación, autorización, aceptación X
Estandarización X
Mantenimiento preventivo X
Acciones de respuesta a la contingencia X
Planes de continuidad del negocio X
Planes de emergencia X
Políticas de seguridad de la información X
Respaldos para interrupción de energía X
Tercerización o subcontratación X
Vigilancia X
Inspección, confirmación o comparación X
7.3.1.1 Estructura del Control Los controles contienen tres componentes: 1) La acción que se realiza26, 2) Objeto sobre el cual recae la acción27 y 3) Elementos adicionales de contexto o descriptivos28 (cuadro 10).
26 Es la actividad realizada para llevar a cabo el control. Evite redactarla en infinitivo (ar, er, ir). 27 El objeto sobre el cual recae la acción puede ser una herramienta; una característica a controlar producto de una actividad específica que implique inspección, confirmación o comparación; un Comité; un Informe, entre otros, (numeral 7.3.1).
Cuadro 10. Ejemplos Estructura del Control
Acción Objeto sobre el cual recae la
acción Elementos adicionales de contexto o descriptivos (criterios)
Realización del Comité Nacional y Subcomité Regional de Control Interno
teniendo en cuenta la Resolución 2428 de 2004
Emisión del Informe definitivo de Auditoría según lo establecido en las actividades del Procedimiento Auditoría Interna de Gestión
Verificación de la razonabilidad de las cifras registradas en los estados contables
según la Caracterización del Proceso de Gestión de Recursos Financieros
Seguimiento al cumplimiento de los indicadores del plan de acción presentado por cada Regional
de acuerdo con lo establecido en las generalidades del Procedimiento de Gestión para el Fortalecimiento Empresarial
Verificación de condiciones mínimas de los ambientes de aprendizaje establecidos en el diseño curricular
según lo establecido en las actividades del Procedimiento de Ejecución de la Formación Profesional Integral
Aprobación del Plan Estratégico presentado por el Director(a) General
según lo establecido en las decisiones del Procedimiento Formulación del Plan Estratégico Institucional
Verificación de requerimientos de divulgación y tiempos de entrega de las comunicaciones internas
de acuerdo con lo establecido en el Instructivo de Comunicación Interna
Teniendo en cuenta la estructura de los tres componentes, la forma de redacción completa y correcta de los controles es:
Cuadro 11. Ejemplos de Redacción de Controles
Incorrecto Correcto
Informe definitivo de Auditoría Emisión del informe definitivo de Auditoría, según lo establecido en las actividades del Procedimiento Auditoría Interna de Gestión
Razonabilidad de las cifras registradas en los estados contables
Verificación de la razonabilidad de las cifras registradas en los estados contables, de acuerdo con la Caracterización del Proceso de Gestión de Recursos Financieros
Plan Estratégico presentado por el Director(a) General
Aprobación del Plan Estratégico presentado por el Director(a) General, según lo establecido en las decisiones del Procedimiento Formulación del Plan Estratégico Institucional
28 Los elementos adicionales o descriptivos (criterios) son los que complementan el control. Pueden ser referentes a nivel de documentos, normas, entre otros.
Incorrecto Correcto
Copias de seguridad Aplicación y monitoreo de copias de seguridad, de acuerdo con lo establecido en la Política de Seguridad de la Información
7.3.2 Evaluación del Control La evaluación de cada control asociado al riesgo, se realiza respondiendo a cuatro preguntas clave (cuadro 12). Cuando la respuesta sea un “No” el puntaje asignado será cero. Si existe más de un control asociado al riesgo, el resultado será el promedio de la sumatoria de estos, según el número de controles establecidos.
Cuadro 12. Evaluación del Control
Preguntas Si / No Puntaje
¿El control está documentado?
Si / No 20
¿Existe un responsable del control?
Si / No 20
¿La frecuencia de ejecución del control es la adecuada?
Si / No 25
¿El control es efectivo (sirve o cumple su función)?
Si / No 35
TOTAL 100
A partir de la identificación del control y del resultado obtenido en la evaluación del mismo, se determina el desplazamiento del riesgo dentro de la Matriz de Calificación y Evaluación del Riesgo, dependiendo si el control afecta la probabilidad o el impacto29 (cuadro 13, 14, 15 y 16), con el fin de establecer el nivel de riesgo final (Riesgo Residual).
Cuadro 13. Desplazamiento en la Matriz de Calificación y Evaluación del Riesgo
Resultado de la evaluación del control
Casillas que disminuye en la Probabilidad
Casillas que disminuye en el Impacto
0 - 50 0 0
51 - 75 1 1
76 - 100 2 2
29 Para los Riesgos de Corrupción, el desplazamiento ocurre en las casillas de probabilidad.
Cuadro 14. Resultado de la evaluación en el rango 0 - 5030
Probabilidad
Impacto
Insignificante (1)
Menor (2)
Moderado (3)
Mayor (4)
Catastrófico (5)
Raro (1) Bajo Bajo Bajo Moderado Moderado
Improbable (2) Bajo Moderado Moderado Alto Alto
Posible (3) Bajo Moderado Alto Alto Extremo
Probable (4) Moderado Alto Alto Extrema
Extremo
Casi Seguro (5) Moderado Alto Extrema Extrema Extremo
Cuadro 15. Resultado de la evaluación en el rango 51 - 75
Probabilidad
Impacto
Insignificante (1)
Menor (2)
Moderado (3)
Mayor (4)
Catastrófico (5)
Raro (1) Bajo Bajo Bajo Moderado Moderado
Improbable (2) Bajo Moderado Moderado Alto Alto
Posible (3) Bajo Moderado Alto Alta
Extremo
Probable (4) Moderado Alto Alta Extrema Extremo
Casi Seguro (5) Moderado Alta Extrema Extremo Extremo
30 RI: Riesgo Inherente, RR: Riesgo Residual
RI RR
No hay desplazamiento
RI RR
Cuando afecta impacto
RR
Cu
and
o a
fect
a
pro
bab
ilid
ad
Cuadro 16. Resultado de la evaluación en el rango 76 - 100
Probabilidad
Impacto
Insignificante (1)
Menor (2)
Moderado (3)
Mayor (4)
Catastrófico (5)
Raro (1) Bajo Bajo Bajo Moderado Moderado
Improbable (2) Bajo Moderado Moderado Alta Alto
Posible (3) Bajo Moderado Alto Alto Extremo
Probable (4) Moderado Alta Alto Extrema Extremo
Casi Seguro (5) Moderado Alto Extrema Extremo Extremo
Para llevar a cabo la valoración de los riesgos, se realizan las siguientes actividades: 1. El Responsable del Proceso y líderes temáticos (coordinadores, responsables del tema,
entre otros), con la asesoría y apoyo técnicos del Gestor o Líder SIG, identifican los controles que pueden disminuir la probabilidad de ocurrencia del riesgo o sus consecuencias. Para esto, ingresan con el usuario del Gestor o Líder SIG a la plataforma CompromISO, y en los Módulos Administración del Riesgo y/o Riesgos de Corrupción, hacen clic en el link “Valoración”, luego en el link “Identificación del Control” y posteriormente en el link “Adicionar”, donde se registran los siguientes campos31: Riesgo, Tipo de Control (Preventivo o Correctivo), Control32, Descripción33 y Qué Disminuye34 (Probabilidad o Impacto). Finalmente, hacen clic en “Adicionar” y el control quedará identificado en el Módulo correspondiente.
2. El Responsable del Proceso y líderes temáticos (coordinadores, responsables del tema, entre otros), con la asesoría y apoyo técnicos del Gestor o Líder SIG, valoran cada riesgo realizando la evaluación de los controles asociados. Para esto, ingresan con el usuario del Gestor o Líder SIG a la plataforma CompromISO, y en los Módulos Administración del Riesgo y/o Riesgos de Corrupción, hacen clic en el link “Valoración”, luego en el link “Valoración del Riesgo” y posteriormente en el círculo de colores que está al lado izquierdo de cada riesgo, donde aparecerán los controles identificados y las preguntas a responder para cada uno de ellos. Una vez respondidas, se obtendrá el puntaje final de la
31 Cualquier ajuste a estos campos, se efectúa a través de la opción “Editar”. 32 En este espacio se describe de manera clara y concreta cual es el control aplicado (longitud máxima de 100 caracteres). 33 En este espacio se describe de manera más detallada el control aplicado, teniendo en cuenta el numeral 7.3.1.1 del presente documento. 34 Control Preventivo: Disminuye la probabilidad; Control Correctivo: Disminuye el impacto. Para los Riesgos de Corrupción los controles son de tipo preventivo.
RI RR
Cuando afecta impacto
RR
Cu
and
o a
fect
a
pro
bab
ilid
ad
evaluación de los controles y el resultado de la valoración. A continuación, se diligencia el espacio de “Observaciones” realizando el análisis de los resultados obtenidos. Finalmente, hacen clic en el link “Valorar”, y el riesgo quedará valorado en el Módulo correspondiente.
3. Durante cada vigencia, el Responsable del Proceso y líderes temáticos (coordinadores,
responsables del tema, entre otros), con la asesoría y apoyo técnicos del Gestor o Líder SIG, realizan una nueva valoración de los riesgos identificados. Para esto, ingresan con el usuario del Gestor o Líder SIG a la plataforma, y en los Módulos Administración del Riesgo y/o Riesgos de Corrupción, hacen clic en el link “Valoración”, luego en el link “Valoración del Riesgo” y posteriormente en el círculo de colores que está al lado izquierdo de cada riesgo. A continuación, hacen clic en el link “Nueva Valoración del Riesgo”, donde se evalúan nuevamente los controles respondiendo las preguntas claves. Es importante que en el espacio de “Observaciones”, se realice el análisis del resultado obtenido con la nueva valoración.
7.4 TRATAMIENTO DEL RIESGO “El tratamiento del riesgo involucra la selección de una o más opciones para modificar los riesgos y la implementación de tales opciones”35. Una vez implementado, el tratamiento suministra nuevos controles o ajustes en la evaluación de los mismos. Las opciones para el tratamiento del riesgo son: Asumir el Riesgo. Se acepta la consecuencia si el riesgo se materializa. El riesgo se
encuentra en una zona donde puede ser aceptado sin necesidad de tomar otras medidas de control diferentes a las que se poseen.
Reducir el Riesgo. Implica tomar medidas encaminadas a disminuir la probabilidad
(medidas de prevención) o el impacto (medidas de protección). Se consigue mediante la optimización de los procedimientos y la implementación de controles.
Evitar el Riesgo. Implica tomar medidas encaminadas a prevenir su materialización. Se
logra cuando en los procesos se generan cambios sustanciales por rediseño, mejoramiento o eliminación. Ejemplo: Rediseñar un proceso, eliminar un trámite, mejorar la calidad de un servicio, desarrollo tecnológico, mantenimiento preventivo de los equipos.
Compartir o transferir el riesgo. Reduce su efecto a través del traspaso, total o parcial, de posibles pérdidas a otras organizaciones. Ejemplo: Pólizas de seguros, tercerización.
Teniendo en cuenta los resultados de la valoración de los riesgos, se determinan las opciones para el tratamiento de los mismos según el nivel de riesgo final (cuadro 18). Para los Riesgos de Corrupción, aplican las opciones de manejo: Evitar el Riesgo, Reducir el Riesgo (medidas encaminadas a disminuir la probabilidad).
35 ICONTEC. Norma Técnica Colombiana NTC ISO 31000. Bogotá D.C., 2011. p. 39 – 40.
Cuadro 17. Opciones de Manejo según el Nivel de Riesgo
Nivel de Riesgo
Opciones de Manejo
Evit
ar
Re
du
cir
Co
mp
arti
r o
Tr
ansf
erir
Asu
mir
Bajo X
Moderado X X X X
Alto X X X
Extremo X X X
Adaptado de: Guía para la Administración del Riesgo. 4 ed. Bogotá D.C.: DAFP, 2011. Las opciones de manejo requieren la formulación de acciones para el tratamiento de los riesgos, las cuales contienen tres componentes: 1) La acción que se espera realizar, comenzando con un verbo en infinitivo36, 2) El objeto sobre el cual recae la acción, 3) Elementos adicionales de contexto o descriptivos (cuadro 18).
Cuadro 18. Ejemplo Acción para el Tratamiento del Riesgo
Acción Objeto sobre el cual recae la
acción Elementos adicionales de contexto o descriptivos
Establecer e implementar
un modelo de Planeación Institucional
que permita la articulación estratégica, táctica y operativa en todos los niveles de la Entidad.
A cada una de estas acciones se le establece un plan de acción en el Módulo de Mejoramiento Continuo – plataforma CompromISO; por tal razón, es importante definir acciones que puedan desarrollarse mediante dos o más actividades específicas. Los riesgos valorados que se encuentren en un nivel de riesgo Alto o Extremo, tienen prioridad para ser atendidos mediante las acciones para el tratamiento correspondientes. Es decir, a mayor nivel de riesgo, mayor prioridad en las acciones para el tratamiento. Para la formulación de las acciones para el tratamiento de los riesgos, se realizan las
siguientes actividades: 1. Con el resultado obtenido a través de la valoración o nueva valoración del riesgo, el
Responsable del Proceso y líderes temáticos (coordinadores, responsables del tema, entre otros), con la asesoría y apoyo técnicos del Gestor o Líder SIG, formulan las acciones encaminadas a prevenir o mitigar el riesgo. Para esto, ingresan con el usuario del Gestor o Líder SIG a la plataforma CompromISO, y en los Módulos Administración del Riesgo y/o
36 El infinitivo es una forma verbal no personal, no temporal y no modal. Está compuesto por las terminaciones ar, er e ir.
Riesgos de Corrupción, hacen clic en el link “Tratamiento de los Riesgos”, luego en el link “Acciones Preventivas”, y posteriormente en el link “Adicionar”, donde se registran los siguientes campos37: Riesgo, Acción Preventiva38, Descripción39, Fecha de Implementación40, Responsable de Realizar la Acción41, Responsable de Seguimiento42, Estado43. Finalmente, hacen clic en “Adicionar” y la acción quedará incluida en el Módulo correspondiente.
2. Una vez se hayan formulado y adicionado las acciones en los Módulos, el Responsable de Realizar la Acción, establece las actividades del plan de acción para cada acción del tratamiento de los riesgos. Para esto, ingresa con su usuario a la plataforma CompromISO, y en el Módulo de Mejoramiento Continuo, hace clic en el link “Acciones”, y luego en el link “Asignadas”, y para cada acción registrada define el plan de acción correspondiente.
3. El Gestor o Líder SIG realiza el seguimiento mensual a las acciones para el tratamiento de los riesgos de su dependencia, con el fin de asegurar el registro de las mismas, avances y evidencias. Este seguimiento lo realiza a través del Módulo de Mejoramiento Continuo – plataforma CompromISO.
4. El Responsable del Proceso, con el apoyo de los líderes temáticos (coordinadores, responsables del tema, entre otros) y del Gestor o Líder SIG, reporta y rinde informes semestrales de seguimiento y revisión de los riesgos de su dependencia, a la Dirección de Planeación y Direccionamiento Corporativo – Grupo de Mejora Continua Institucional, mediante el correo institucional [email protected]
7.5 SEGUIMIENTO A LA ADMINISTRACIÓN DEL RIESGO El seguimiento a la Administración del Riesgo se encuentra conformado por dos componentes: el primero, mediante el Autocontrol realizado por los Responsables de Proceso y líderes temáticos (coordinadores, responsables del tema, entre otros), y el segundo, mediante la evaluación realizada por la Oficina de Control Interno. 7.5.1 Autocontrol Es la actividad realizada por los Responsables de Proceso y líderes temáticos (coordinadores, responsables del tema, entre otros), donde se revisan las matrices de Riesgos de los procesos y de Corrupción de sus respectivas dependencias en los períodos establecidos, o cuando las circunstancias lo ameriten, a partir de modificaciones o cambios sustanciales en el contexto interno o externo de la Entidad. Esta revisión se realiza teniendo en cuenta los siguientes aspectos:
37 Cualquier ajuste a estos campos, se efectúa a través de la opción “Editar”. 38 En este espacio se describe de manera clara y concreta cual es la acción a implementar (longitud máxima de 100 caracteres). 39 En este espacio se describe de manera más detallada la acción a implementar, teniendo en cuenta la estructura de los tres componentes. 40 Fecha en la cual se espera esté implementada la acción. 41 Coordinadores o responsables del tema. 42 Gestor o Líder SIG. 43 Se selecciona inicialmente “Abierta”. El cierre de las acciones se realizará de acuerdo con lo establecido en el Procedimiento de Acciones Preventivas, Correctivas y de Mejora (DE-P-018).
Identificación de nuevos riesgos (Generalidad 4.7).
Identificación de nuevos factores de contexto.
Identificación de nuevas causas generadoras o efectos con la materialización de los riesgos.
Identificación de nuevos controles o actualizaciones en la evaluación de los mismos.
Identificación de nuevas acciones para el tratamiento de los riesgos o ajustes a las definidas.
Para los riesgos de los procesos, la primera revisión se efectúa durante el período comprendido entre el 1 de enero y el 30 de junio de cada vigencia, y la segunda, entre el 1 de julio y el 31 de diciembre. Para los riesgos de corrupción, la revisión se efectúa tres veces al año: la primera, durante el período comprendido entre el 1 de enero y el 30 de abril, la segunda, entre el 1 de mayo y el 31 de agosto y, la tercera, entre el 1 de septiembre y el 31 de diciembre44. Una vez finalizada cada una de las revisiones en los períodos mencionados anteriormente, y de acuerdo con los resultados de dichas revisiones, las matrices de riesgos, de cada una de las dependencias, deben quedar actualizadas en la plataforma CompromISO, Módulos: Administración del Riesgo y Riesgos de Corrupción. 7.5.2 Evaluación realizada por la Oficina de Control Interno La Oficina de Control Interno, dentro de su rol de evaluación y seguimiento (Auditoría Interna de Gestión), es la encargada de brindar una evaluación objetiva sobre la administración de los riesgos en la Entidad, valorar si los controles son efectivos, realizar seguimiento y revisión de la eficacia de las acciones establecidas para el tratamiento de los riesgos, y emitir informes periódicos de acuerdo con las auditorías realizadas.
44 SECRETARÍA DE TRANSPARENCIA – PRESIDENCIA DE LA REPÚBLICA. Estrategias para la Construcción del Plan
Anticorrupción y de Atención al Ciudadano. Bogotá D.C., 2012. p. 8.
7.6 ROL DE LA OFICINA DE CONTROL INTERNO FRENTE A LA ADMINISTRACIÓN DEL RIESGO
A parte del rol de evaluación y seguimiento descrito en el numeral 7.5.2, algunas actividades que realiza la Oficina de Control Interno, dentro de su rol de acompañamiento y asesoría, son: Identificar riesgos a través de la auditoría interna de gestión, y evaluar la administración
de los mismos.
Facilitar a la Administración herramientas y técnicas que utiliza la auditoría interna de gestión para identificar y analizar los riesgos y controles.
Aconsejar facilitando talleres, entrenando a la Entidad sobre riesgos y controles, y promoviendo el desarrollo de un lenguaje marco y entendimiento común.
Recomendar alternativas que permitan mejorar el tratamiento del riesgo definido por la
Entidad.
REFERENCIAS BIBLIOGRÁFICAS
DEPARTAMENTO ADMINISTRATIVO DE LA FUNCIÓN PÚBLICA (DAFP). Guía para la Administración del Riesgo. 4 ed. Bogotá D.C., 2011. DEPARTAMENTO ADMINISTRATIVO DE LA FUNCIÓN PÚBLICA (DAFP). Manual Técnico del Modelo Estándar de Control Interno para el Estado Colombiano MECI 2014. 2 ed. Bogotá D.C., 2014. ICONTEC. Norma Técnica Colombiana NTC ISO 31000. Bogotá D.C., 2011. SECRETARÍA DE TRANSPARENCIA – PRESIDENCIA DE LA REPÚBLICA. Estrategias para la Construcción del Plan Anticorrupción y de Atención al Ciudadano. Bogotá D.C., 2012.